互聯(lián)網(wǎng)數(shù)據(jù)機房安全管理制度規(guī)范.docx

精選資料目 錄第一章 緒 論1第二章 機房物理安全管理22.1 人員安全管理22.2 代維人員安全管理22.2.1 代維人員安全管理制度22.2.2 交接班制度32.2.3 機房巡回檢查制度32.2.4 機房值機記錄規(guī)定32.2.5 與相關單位聯(lián)系制度42.3 第三方人員安全管理42.4 機房環(huán)境安全管理52.5 門禁安全管理52.6 機房設備安全管理62.6.1 自有設備管理62.6.2 客戶設備管理62.7 機房電源、空調安全管理72.7.1 機房電源安全管理72.7.2 機房空調安全管理72.8 機房施工管理82.9 安全檢查9第三章 信息安全管理103.1 信息資產(chǎn)安全103.2 網(wǎng)絡安全管理103.3 賬號、口令及權限管理113.3.1 帳號管理113.3.2 口令管理113.3.3 權限管理123.4 配置變更管理123.5 生產(chǎn)終端管理133.6 病毒防護管理133.7 辦公終端管理143.8 數(shù)據(jù)安全管理143.8.1 數(shù)據(jù)存儲安全管理143.8.2 數(shù)據(jù)傳輸安全管理143.8.3 數(shù)據(jù)安全等級的變更153.8.4 數(shù)據(jù)備份和恢復153.8.5 密碼安全163.8.6 密鑰安全16附：應急處理流程圖18參考文獻19致 謝20可修改編輯精選資料第一章 緒 論當今社會運轉，無不需要信息化，信息服務正在呈幾何級數(shù)增長，電信運營商、業(yè)務提供商對IDC機房的要求也越來越高，如何能為他們提供一個安全、穩(wěn)定、可擴展、易升級、節(jié)能環(huán)保的IDC機房已經(jīng)顯得非常重要，這對于運營商的發(fā)展，乃至信息行業(yè)的發(fā)展而言，都是未來相當長一段時間內(nèi)的重中之重。目前企業(yè)面對傳統(tǒng)數(shù)據(jù)中心管理復雜、運維成本高居不下、難以適應業(yè)務發(fā)展需要等一系列問題，對數(shù)據(jù)中心建設熱情依舊，新建、擴建、改建項目都有不同程度增加，未來投資力度依然很大。國內(nèi)數(shù)據(jù)中心市場處于高速增長期，項目建設也需要一定周期，所以對市場波動和風險有較強的抵抗能力。目前數(shù)據(jù)中心廠商在加緊新技術、新產(chǎn)品的推廣力度，針對行業(yè)應用特點的各種整體解決方案不斷推出，節(jié)能、安全、智能管理等概念逐漸深入，廠商之間以及廠商和用戶的合作日益緊密，也為數(shù)據(jù)中心產(chǎn)業(yè)今后的健康發(fā)展奠定了基礎，對于電信級數(shù)據(jù)中心的挑戰(zhàn)。就維護方面，首先要對維護人員的組織架構和管理進行重新組織和規(guī)劃。將人員分成幾層，第一種對設備健康狀況簡單的維護。維護人員針對以前的數(shù)據(jù)中心設備進行一些簡單的操作維護和管理，專業(yè)化水平相對較低，無法進行更深入的管理。第二種是專業(yè)化程度相當于數(shù)據(jù)庫的專業(yè)人員。在以前沒有規(guī)?；托б婊?。運營商并未提供這種服務，客戶需求似乎也沒那么強烈。專業(yè)化不足是其中一個挑戰(zhàn)。其次，由于數(shù)據(jù)中心的虛擬化和云化，運營商亟需細分和提高維護人員的技術水平。基于規(guī)?；鸵惑w化平臺，運營商可以分級別、分客戶市場培養(yǎng)相對應的專業(yè)技術人員，比如分別培養(yǎng)具有支持客戶、面向服務和面向內(nèi)部系統(tǒng)等的專門人才，以滿足在“云”的各種層次上都有專業(yè)技術人員做支撐的要求。為了確保市場要求，在高速增長的同時，不僅僅要培養(yǎng)大量的運營維護人員，還在要在制度上對從業(yè)人員進行規(guī)范。本人工作于計算機通訊行業(yè)，長期從事電信業(yè)務技術工作，長時間工作于各地電信機房，對于各地IDC機房的管理規(guī)范熟知。應公司邀請，參加公司IDC機房管理制度的完善工作。利用本人的工作經(jīng)驗，參考各地電信機房的管理制度，參與完善編寫IDC機房管理制度規(guī)范，以此成文。第二章 機房物理安全管理2.1 人員安全管理1.數(shù)據(jù)中心人員要切實遵守安全制度，認真執(zhí)行用電、防火的安全規(guī)定，做好防火、防爆、防盜、防汛等工作，確保人身和設備的安全，每個數(shù)據(jù)中心人員都應學會觸電后的急救，掌握防火滅火常識和消防器材的使用。機房內(nèi)必須有相應的滅火器材和防護用具。2.機房一旦發(fā)生火情，數(shù)據(jù)中心人員應按照通信機房火災應急處理流程進行處理，并立即上報。3.在維護、測試、磁帶調換、裝載、障礙處理、日常操作以及工程施工等工作中，應采取預防措施，避免工傷和通信事故的發(fā)生，插拔電路板時，應采取防靜電措施，禁止佩戴手表戒指等金屬物品，以免損壞電路板。4.注意安全用電，遵守安全用電規(guī)定。不準擅自帶電作業(yè)，經(jīng)批準帶電作業(yè)時，應做好絕緣防護措施，按照相關操作規(guī)程實施，禁止一切可能造成電源短路和人身設備受損的行動。5.登高作業(yè)或搬運笨重物件時，應遵守相關安全操作規(guī)定，防止人身傷亡或器材損壞。6.機房內(nèi)禁止工作人員用餐和存放食品，防止引入老鼠造成電器短路；禁止將水帶入機房。2.2 代維人員安全管理2.2.1 代維人員安全管理制度1.代維人員必須遵守數(shù)據(jù)中心所有管理規(guī)定。2.代維人員要切實遵守安全制度，認真執(zhí)行用電、防火的安全規(guī)定，做好防火、防爆、防盜、防汛等工作，確保人身和設備的安全，每個代維人員都應學會觸電后的急救，掌握防火滅火常識和消防器材的使用。機房內(nèi)必須有相應的滅火器材和防護用具。3.代維人員對數(shù)據(jù)中心所有物理安全進行事實監(jiān)控，負責數(shù)據(jù)中心日常工作。4.機房一旦發(fā)生火情，代維人員應按照通信機房火災應急處理流程進行處理，并立即上報。2.2.2 交接班制度1.交接班內(nèi)容：(1)機房內(nèi)正在使用的主、備用設備工作情況。(2)檢查所有客戶設備運行情況。(3)維護作業(yè)執(zhí)行情況和故障處理情況。(4)上級部門臨時交待的重要事項和有關通知。(5)填寫并打印所有交班報告。(6)記錄上傳文檔服務器。(7)工具、儀器常用的資料、文件、緊急備用材料、消防器材等是否齊全。(8)機房環(huán)境(溫度、濕度、空調、清潔、日光燈等)情況。2.值機人員應在下班前30分鐘全面巡視機房一次，按交班內(nèi)容作好交班準備工作。3.接班人員應在接班前10分鐘進入機房等待接班，并查閱綜合記錄、通知等有關記錄。4.接班者在聽取交待后，由交班者陪同對機房正在使用的所有設備進行檢查無誤后宣布正式接班，發(fā)出交班報告，并在值班記錄表上雙方簽名，該時間作為正式接班時間。5.交接班中由于漏交、錯交而產(chǎn)生的差錯由交班者負責，接班后發(fā)現(xiàn)的差錯事故由接班者負責。6.交班者正在處理重大問題，或未做完應做的例行工作以及機房混亂、工具不清等不得交接班。7.在交接班過程中發(fā)生故障時以交班者為主負責處理，接班者協(xié)助處理，完成和告一段落后才能繼續(xù)交接班，并將情況在值班表中記錄清楚。2.2.3 機房巡回檢查制度1.值班人員每60分鐘對機房設備進行巡回檢查，并根據(jù)表格作好相應記錄；重點通信保障期間巡檢制度為每30分鐘檢查一次。2.對需要打印的記錄應按規(guī)定打印。3.如發(fā)現(xiàn)線纜質量有問題或設備故障，應立即采取相應措施，做好記錄，并向運維組長匯報。4.如遇電源變化，氣候惡劣情況時，應加強巡視檢查。5.如發(fā)現(xiàn)客戶設備有問題，應立即通知客戶處理。2.2.4 機房值機記錄規(guī)定1.值機人員姓名，值班日期及交接班時間有明確記錄。2.值班期間告警及系統(tǒng)運行情況詳細記錄。對網(wǎng)絡配置、數(shù)據(jù)備份、系統(tǒng)啟動、重大故障等做專項記錄。(1)做網(wǎng)絡配置前后必須進行備份。(2)記錄表詳細填寫修改內(nèi)容、操作員、時間和結果。3.客戶移入移出設備需詳細填寫設備移入移出記錄表。(1)移出設備需要其公司蓋章后的介紹信。(2)移出人需是授權人并持有有效證件。2.2.5 與相關單位聯(lián)系制度1.機房發(fā)現(xiàn)與其他網(wǎng)絡接口設備、傳輸線路等有不正常情況時應首先檢查本端設備，并作好相應記錄。確認本端無問題，與相關單位協(xié)調解決。2.業(yè)務系統(tǒng)發(fā)生故障，機房人員必須立即用電話通告系統(tǒng)負責人，把故障情況和本端初步檢查結果告訴對方，請對方幫助檢查。接到相關部門反饋檢查結果后，值機人員必須作好詳細記錄。3.在進行維護時可能影響到對端設備，應事先通知對方機房，進入其他單位機房，需按對方要求填寫申請。4.機房環(huán)境動力問題，聯(lián)系相關專業(yè)盡快解決（物業(yè)、空調、電源、消防）。2.3 第三方人員安全管理1.對進入IDC人員進行訪問控制，所有進入IDC人員必須填寫數(shù)據(jù)中心訪客登記。2.訪問IDC的人員需遵守數(shù)據(jù)中心管理規(guī)范。3.對于進入數(shù)據(jù)中心機房調試維護的客戶，需告知客戶安全通道急出現(xiàn)緊急情況的處理辦法。4.訪問數(shù)據(jù)中心人員必須出示有效身份證明和文件，證明進入數(shù)據(jù)中心已經(jīng)過授權。5.參觀人員必須事先報經(jīng)數(shù)據(jù)中心人員同意后，在有數(shù)據(jù)中心人員帶領下,方可進入。6.進入數(shù)據(jù)中心必須佩戴數(shù)據(jù)中心發(fā)出的訪客標識。7.訪問數(shù)據(jù)中心人員只能在授權活動范圍內(nèi)活動，不得隨意在數(shù)據(jù)中心活動或擅自進入機房。8.除特別需要外(如系統(tǒng)安裝,更換服務器,更換硬件),第三方維護人員不得進入機房進行調試。9.人員進入機房在維護工作完成后,應立即離開機房,不得無故停留。10.重啟進程等工作,可以選擇遠程操作,如有特殊需求,可在數(shù)據(jù)中心指定調試工位進行調試,調試過程中禁止做與工作無關的操作。11.配合數(shù)據(jù)中心相關維護管理人員，填寫相應登記記錄,并告知數(shù)據(jù)中心維護管理員進入機房的維護內(nèi)容,得到允許后,方可進入機房。12.訪問數(shù)據(jù)中心人員在未經(jīng)允許的情況下，不得對機房設備進行拍照、攝像等行為。13.機房內(nèi)禁止用餐和存放食品，防止引入老鼠造成電器短路；禁止將水帶入機房。14.禁止帶易燃易爆物品進入機房，設備維護用品及資料必須在離開時帶出機房。2.4 機房環(huán)境安全管理1.機房不準使用木板、纖維板、寶麗板、塑料板、聚苯乙烯泡沫塑料等易燃材料裝修。2.吊頂隔墻、空調通風管道、門窗、窗簾等物應采用阻燃材料制作，對已使用易燃可燃材料裝修的，要采用防火涂料等辦法進行防火處理，以便提高耐火等級。3.機房溫度應保持在1525，相對濕度在40%60%，保持正常通風。4.機房與機房，機房與辦公區(qū)要有區(qū)域防火隔離。5.水平方向鋪設的電纜、電線及管道穿墻時，孔洞縫隙要用非燃材料進行封堵。電纜豎井及管道，應在每層的樓板處用非燃材料進行封堵，豎井及其檢修部門不準使用可燃材料。6.機房應根據(jù)不同部位合理選配消防器材并存放明顯部位。消防器材要指定專人定期檢查維護管理，保證長期處于完好有效狀態(tài)，消防器材設施任何人均不得挪做他用。7.院內(nèi)和樓內(nèi)消火栓、消防井要定期檢查確保完好，要做到無封堵、無壓蓋。各部位的通道，不準堆積雜物和易燃物品，不得隨意封堵消防通道，確保通道暢通。8.機房內(nèi)嚴禁吸煙，禁止使用電熱器具，禁止使用明火作業(yè)和電氣焊。9.機房內(nèi)要長期保持清潔整齊，禁止堆放與通信生產(chǎn)無關的物品，打印紙、包裝箱等易燃物品要隨時清除。10.機房內(nèi)禁止存放易燃易爆及腐蝕性物品。對于設備維護需要的軟件、機房手冊等，應放置在專用鐵柜中。11.機房不準有易燃可燃氣體、液體，不準使用可燃易燃液體清潔設備、擦拭地板。12.機房內(nèi)非特殊需要，嚴禁使用明火。若確有必要，必須持有相關部門批準的文件，并采取相應嚴密措施后，方可動用明火。13.對于機房各種照明及應急照明，每周進行檢查，如有問題即時與物業(yè)聯(lián)系更換。2.5 門禁安全管理1.數(shù)據(jù)中心所有機房門必須設門禁。2.非數(shù)據(jù)中心人員除授權外不得隨便進入機房。3.門禁必須設有緊急開關按鈕，出現(xiàn)緊急情況可以通過擊碎緊急按鈕玻璃逃生。4.平時不使用的機房門必須從機房內(nèi)側反鎖，門上用十字封條封死。5.門禁卡設有專人管理，申請門禁卡需填寫數(shù)據(jù)中心門禁訪問申請表，由數(shù)據(jù)中心經(jīng)理簽字后方可制作使用。6.門禁系統(tǒng)需與消防聯(lián)動，當消防告警，門禁系統(tǒng)自動失效，機房內(nèi)人員可以逃生。7.門禁卡必須設置備用卡，由專人保管，在緊急事件中使用。8.門禁記錄每年至少檢查一次。2.6 機房設備安全管理2.6.1 自有設備管理1.數(shù)據(jù)中心自有設備需有單獨機柜擺放，客戶不得對數(shù)據(jù)中心設備進行任何操作。2.數(shù)據(jù)中心自有設備每天進行巡檢，每月由維保廠家進行維護。3.數(shù)據(jù)中心自有設備必須帖有公司資產(chǎn)標簽。4.數(shù)據(jù)中心設有專人管理所有設備資產(chǎn)。5.每半年對數(shù)據(jù)中心設備資產(chǎn)進行核查登記。6.數(shù)據(jù)中心自有設備位置移動需有資產(chǎn)管理員及經(jīng)理的授權，填寫相關表單后方可移動。7.對于數(shù)據(jù)中心運行的設備進行實時監(jiān)控。8.自有設備物理情況每天進行檢查記錄。2.6.2 客戶設備管理1.進入數(shù)據(jù)中心設備需遵循數(shù)據(jù)中心安全管理規(guī)范，非品牌設備不得托管在數(shù)據(jù)中心。2.數(shù)據(jù)中心客戶設備每天由運維人員進行物理巡檢，客戶每月至少維護一次。3.進入數(shù)據(jù)中心設備必須填寫客戶設備記錄表第一部分：移入記錄進行備案。4.客戶移出設備需持單位蓋章的介紹信及單位蓋章、授權人簽字的客戶設備記錄表第二部分：移出記錄。5.對于客戶設備數(shù)據(jù)中心進行724小時監(jiān)控。6.客戶設備安裝需按照數(shù)據(jù)中心管理規(guī)定。7.放入數(shù)據(jù)中心機柜中的設備必須遵循用電規(guī)范，每個機柜不得超過2500KW/h。8.放入數(shù)據(jù)中心機柜中的設備必須遵循數(shù)據(jù)中心散熱管理規(guī)定。2.7 機房電源、空調安全管理2.7.1 機房電源安全管理1.數(shù)據(jù)中心電源擴容，必須在網(wǎng)運中心電源部門的配合下才能進行2.所有設備加電前需確保不超過空開負載。3.客戶不得自行開關機柜空氣開關，不得進行帶電設備拆卸。4.電源線應采用整段的線料，不得在中間接頭。交流電源線必須有接地保護線。機房內(nèi)由接地總匯集線引出的交直流接地線應設明顯標志。安裝后的電源線應用不同的顏色的膠帶區(qū)分，電纜剖頭處必須用膠帶和護套封扎。5.直流電源線與交流電源線、信號線需分開布放，避免綁在同一線束內(nèi)，避免交叉布放。6.穿線時電纜兩頭必須用絕緣物封閉，嚴禁裸露導線在槽道和設備內(nèi)穿行。7.沿地槽布放電源線時，電纜不宜直接與地面接觸，如有特殊情況，需套管保護。8.電源線加鋼管（塑料管）保護時，管內(nèi)需清潔，平滑；電源線穿過后，管口兩端應密封，非同一級電壓電力電纜，不得穿在同一管孔內(nèi)。9.用萬用表測量用電設備內(nèi)正負極接入端是否絕緣，確認無誤后用經(jīng)過絕緣、處理的工具在電源柜內(nèi)依次將保護地和電力線正極連接在電源柜地線排和正極母排上。10.在電源設備上接線和最后加電前，必須有工程負責人、IDC維護人員、IDC施工負責人等在場，方可在電源設備上接線和最后加電。11.電源線布放完畢后，在相對濕度不大于80時用500伏兆歐表測試線對間、線對地的絕緣電阻應大于1兆歐。12.測試電源線的壓降應符合設計規(guī)定。13.加電1小時后檢查電源線線鼻子處，電源線連接處及電源線與設備連接處溫度均不大于65度方可。2.7.2 機房空調安全管理1.對空調工作情況每四小時檢查一次，對溫度、濕度、運行情況、制冷情況、漏水情況等進行記錄。2.如發(fā)現(xiàn)空調有告警情況，應立即通知網(wǎng)運空調班處理。3.如發(fā)現(xiàn)空調有漏水情況，應立即采取應急處理，處理后通知網(wǎng)運空調班進行檢修。4.對于空調后水管縫合處，每天檢查一次。5.對于網(wǎng)運空調班維護空調后，數(shù)據(jù)中心人員必須進行檢查是否有漏水等安全隱患。2.8 機房施工管理1.進入數(shù)據(jù)中心進行施工，需要數(shù)據(jù)中心施工管理員審核確認，填寫現(xiàn)場工程承包商入場工作許可申請，簽署項目施工協(xié)議書后，并認真閱讀現(xiàn)場施工管理辦法后方可進入施工。2.搬運設備時要輕拿輕放，禁止在地板上直接拖拉重物。若因施工或搬運物品而造成地板和墻面損傷將對責任方進行罰款。3.在地板上挪動機柜需小心損壞地板，并注意人員安全。4.項目施工負責人及其他人員進入IDC機房必須攜帶有效證件，穿一次性鞋套，得到工作人員允許并登記后才可以進入。5.在施工過程中必須遵守移動通信大樓的管理規(guī)定。人員應該愛護機房環(huán)境，設備應在機房外拆封，禁止將紙箱子等易燃物帶入機房，垃圾要帶走。6.禁止使用兩個插銷板進行串連使用，禁止在顯示器散熱孔及類似的設備上放置紙張。7.施工人員在機房及維護室內(nèi)禁止吸煙，喝水，吃東西，大聲喧嘩,禁止一切與工作無關的事，禁止將水杯和易燃易爆物品帶入機房內(nèi)，如被發(fā)現(xiàn)，將給予處罰。8.在IDC范圍內(nèi)鉆孔、焊接和會造成灰塵、震動或噪音工程前，必須通IDC工作人員，得到IDC工作人員批準后并在IDC工作人員的監(jiān)督下，才能按規(guī)定實施，會造成灰塵的必須使用吸塵器即時清楚。9.嚴禁使用機柜電源為工程工具提供電力。在IDC機房內(nèi)的線路路由，必須由IDC工作人員核準后，按照規(guī)定路由布線。10.如需要布放線延至IDC機房以外，需要得到IDC機房負責人的許可后才可布放。11.移動內(nèi)部業(yè)務系統(tǒng)設備標簽和網(wǎng)線標簽要遵循集團標準。12.施工人員不得進入監(jiān)控室，不得觸碰、觀看、記錄IDC內(nèi)的設備和設施，不得隨意搬動消防器材。13.施工人員除施工需要不得影響其他客戶工作，閑雜人員禁止進入機房, 未經(jīng)許可，禁止在機房內(nèi)進行照相、攝影及其他一些活動。14.當天施工結束后要將場地清理干凈。操作結束后（包括軟件升級、打補丁、各種工程施工），不能在機柜內(nèi)、機柜上、假地板下面等地方遺留雜物（包括紙箱、技術資料、鑼釘鑼栓、線段和線皮、塑料包裝用品、鑰匙和標牌等）。操作時使用的各種連線、插銷板等要物歸原位。15.如果有設備要寄存在IDC，要向IDC工作人員說明，并寫明項目名稱及寄存清單，將設備放置指定地點。16.從IDC借用工具要填寫借用登記表，用完后要及時歸還。17.嚴禁在通信樓內(nèi)任何地方（包括廁所內(nèi)）吸煙，發(fā)現(xiàn)一個煙頭罰款50元，并對責任單位進行最高2000元的罰款。18.發(fā)生火災等緊急情況，應立即拔出著火電路盤切斷火源并呼叫IDC維護人員采取滅火措施。19.嚴禁將工具放在設備和高凳上，以防發(fā)生事故，在高凳上施工作業(yè)，必須設專人保護，作業(yè)人員使用的工具、部件要妥善放置，避免高空墜落的危險發(fā)生。20.使用電鉆鉆孔時要隨手清理灰塵，打眼組裝后清潔全部施工現(xiàn)場，鐵屑、纜皮、纜頭等集中處理干凈。21.注意用電安全，遵守安全用電規(guī)定，不準擅自帶電作業(yè)。經(jīng)批準帶電作業(yè)時，應做好絕緣防護措施，按照相關操作規(guī)程實施，禁止一切可能造成電源短路和人身設備受損的行動。22.對于各種施工輔助材料（通用），各施工隊員應嚴格遵守使用規(guī)定，不得私自挪用，影響正常施工進度。23.在投入運行的設備現(xiàn)場進行擴容等施工工作，應杜絕由于施工造成的誤操作或其他原因給現(xiàn)網(wǎng)運行設備造成影響或阻斷。24.各施工單位應貫徹執(zhí)行本規(guī)定的具體要求，其自行制定的規(guī)程不得與本規(guī)定相抵觸。2.9 安全檢查1.每年元旦、春節(jié)、兩會、五一、十一等重大節(jié)日期間，對通信機房安全生產(chǎn)情況進行檢查，是否存在安全隱患等情況。2.按照代維合同要求，每月檢查運維工作執(zhí)行情況，每季度對代維工作進行考核，并做檢查記錄。3.在檢查安全生產(chǎn)時，要邊檢查邊整改。第三章 信息安全管理3.1 信息資產(chǎn)安全1.資產(chǎn)管理員負責識別管理的信息資產(chǎn)。2.資產(chǎn)管理員負責核實和維護本部門系統(tǒng)信息資產(chǎn)的信息。3.資產(chǎn)屬性發(fā)生變更，資產(chǎn)管理員要及時更新信息資產(chǎn)記錄。變更包括地理位置變動、信息資產(chǎn)配置信息、補丁信息等變動。4.資產(chǎn)管理權限發(fā)生變更，資產(chǎn)管理員要及時通知本公司安全管理員，將資產(chǎn)狀況及時更新到公司安全管理系統(tǒng)中。管理權限變更包括資產(chǎn)所屬系統(tǒng)發(fā)生變更和信息資產(chǎn)所屬部門發(fā)生變更。5.資產(chǎn)設備由設備所屬的系統(tǒng)管理人員負責安全防護。6.部門信息安全工作組定期巡檢本部門所屬系統(tǒng)信息資產(chǎn)的安全狀況。7.在系統(tǒng)建設設備選型時應符合集團公司入網(wǎng)規(guī)范，確保產(chǎn)品的可靠性。3.2 網(wǎng)絡安全管理1.各系統(tǒng)網(wǎng)絡設備當前運行配置文件應和備份配置文件保持一致。2.網(wǎng)絡設備登錄提示標識應適當屏蔽內(nèi)部網(wǎng)絡信息內(nèi)容，并應有相關合法性警告信息。3.通過設備日志或外部認證設備維護對設備的登錄狀況，內(nèi)容應當包括訪問登錄時間，人員，成功登錄和失敗登錄時間和次數(shù)等信息。4.嚴格控制對網(wǎng)絡設備的管理授權。按照最小權限原則對用戶進行授權。5.各系統(tǒng)網(wǎng)絡設備的密碼應嚴格按照賬號、口令及權限管理辦法執(zhí)行。6.嚴禁管理員透漏設備口令、SNMP字符串、設備配置文件等信息給未授權人員。7.所有網(wǎng)絡必須具有關于拓撲結構、所用設備、鏈路使用情況等關于網(wǎng)絡情況的詳細說明文檔，并保持文檔內(nèi)容和現(xiàn)有網(wǎng)絡、設備連接和鏈路信息保持一致。8.對重要區(qū)域實行冷備份與熱備份相結合的方式，避免雙重失效造成的影響。9.重要系統(tǒng)在網(wǎng)絡上傳輸機密性要求高的信息時，必須啟用可靠的加密算法保證傳輸安全。10.由統(tǒng)一的IP地址管理機構、人員負責對IP地址進行規(guī)劃、登記、維護和分配。確保部門有足夠的地址容量并有一定的冗余供擴展使用，并及時關閉和回收被廢止的地址。11.未經(jīng)公司信息安全組織批準，測試網(wǎng)絡與公司內(nèi)部網(wǎng)絡不能直接連接。12.未經(jīng)公司信息安全組織批準，嚴禁員工私自設立撥號接入服務。13.未經(jīng)公司信息安全組織批準，嚴禁員工通過拔號方式對外部網(wǎng)絡進行訪問。14.所有的遠程訪問必須具備身份鑒別和訪問授權控制，至少應采用用戶名/口令方式，通過Internet的遠程接入訪問必須通過VPN的連接，并啟用VPN的加密與驗證功能。15.不同安全區(qū)域之間應采用防火墻，路由器訪問控制列表等方式對邊界進行保護。只開放必要的服務和端口，減少暴露在網(wǎng)絡外部的風險。16.根據(jù)業(yè)務變化及時檢驗更新現(xiàn)有的防火墻配置策略，滿足新的安全需求。17.采取邏輯或物理隔離方法對網(wǎng)絡采取必要的隔離措施，以維護不同網(wǎng)絡間信息的機密性，解決網(wǎng)絡信息分區(qū)傳輸?shù)陌踩珕栴}。18.網(wǎng)絡中各設備應開啟日志記錄功能，對網(wǎng)絡使用情況進行記錄。3.3 賬號、口令及權限管理3.3.1 帳號管理1.系統(tǒng)管理員應當對系統(tǒng)帳號使用情況進行統(tǒng)一管理，并對每個帳號的使用者信息、帳號權限、使用期限進行記錄。2.應避免使用系統(tǒng)默認賬號，系統(tǒng)管理員應當為每一個系統(tǒng)用戶設置一個帳號， 避免系統(tǒng)內(nèi)部存在共享帳號。3.各系統(tǒng)管理員應當對系統(tǒng)中存在的賬號進行定期檢查，確保系統(tǒng)中不存在無用或匿名賬號。4.部門信息安全組定期檢查各系統(tǒng)帳號管理情況，內(nèi)容應包含如下幾個方面： 員工離職或帳號已經(jīng)過期，相應的帳號在系統(tǒng)中仍然存在上； 用戶是否被授予了與其工作職責不相符的系統(tǒng)訪問權限； 帳號使用情況是否和系統(tǒng)管理員備案的用戶賬號權限情況一致； 是否存在非法賬號或者長期未使用賬號； 是否存在弱口令賬號。5.各系統(tǒng)應具有系統(tǒng)安全日志功能，能夠記錄系統(tǒng)帳號的登錄和訪問時間、操作內(nèi)容、IP地址等信息。6.系統(tǒng)在創(chuàng)建賬號、變更賬號以及撤銷賬號的過程中，應到得到部門經(jīng)理的審批后才可實施。3.3.2 口令管理1.系統(tǒng)密碼、口令的設置至少應該符合以下要求： 長度大于8位； 大小寫字母、數(shù)字，以及特殊字符混合使用，例如：TmB1w2R!； 不是任何語言的單詞； 不能使用缺省設置的密碼。2.密碼至少應該保證每季度更換一次，包括：UNIX/Linux系統(tǒng)root用戶的密碼、網(wǎng)絡設備的enable密碼、Windows系統(tǒng)Administrator用戶的密碼，以及應用系統(tǒng)的管理用戶密碼。3.密碼不能以明文的方式通過電子郵件或者其它網(wǎng)絡傳輸方式進行傳輸。4.公司員工不能將密碼告訴別人，如果系統(tǒng)的密碼泄漏了，必須立即更改。5.系統(tǒng)管理員不能共享超級用戶帳號，應采用組策略控制超級用戶的訪問。6.業(yè)務管理人員不能共享業(yè)務管理帳號，應當為每一位業(yè)務管理人員分配單獨的帳號。7.所有系統(tǒng)集成商在施工期間設立的缺省密碼在系統(tǒng)投入使用之前都要刪除。8.密碼要以加密形式保存，加密算法強度要高，加密算法要不可逆。9.密碼在輸入系統(tǒng)時，不能在顯示屏上明文顯示出來。10.系統(tǒng)應該強制指定密碼的策略，包括密碼的最短有效期、最長有效期、最短長度、復雜性等。11.除了系統(tǒng)管理員外，普通用戶不能改變其它用戶的口令。3.3.3 權限管理1.各系統(tǒng)應根據(jù)“最小授權”的原則設定賬戶訪問權限，控制用戶僅能夠訪問到工作需要的信息。2.從賬號管理的角度，應進行基于角色的訪問控制權限的設定，即對系統(tǒng)的訪問控制權限是以角色或組為單位進行授予。3.細分角色根據(jù)系統(tǒng)的特性和功能長期存在，基本不隨人員和管理崗位的變更而變更。4.一個用戶根據(jù)實際情況可以分配多個角色。5.各系統(tǒng)應該設置審計用戶的權限，審計用戶應當具備比較完整的讀權限，審計用戶應當能夠讀取系統(tǒng)關鍵文件，檢查系統(tǒng)設置、系統(tǒng)日志等信息。3.4 配置變更管理1.各系統(tǒng)管理員應對本系統(tǒng)的設備、系統(tǒng)等IT資產(chǎn)的配置進行記錄，并保存配置記錄信息。2.各系統(tǒng)在發(fā)生變更操作時，應根據(jù)XX地方信息安全管理流程-安全配置變更管理流程進行審批、測試。3.各系統(tǒng)執(zhí)行變更操作前，要對變更操作進行測試；確定無不利影響后，提交系統(tǒng)測試結果、系統(tǒng)配置變更實施方案和回退方案，由本部門三級經(jīng)理和公司相關主管部門提出配置變更申請。4.申請審批通過后，才可以進行配置變更操作；進行配置變更操作前，需要對變更設備進行配置備份。5.各系統(tǒng)管理員應對變更操作的具體步驟進行記錄并保存。6.各系統(tǒng)管理員進行配置變更操作后，應將變更后的配置信息進行記錄。7.各系統(tǒng)發(fā)生配置變更后，應在公司信息安全辦公室進行備案。3.5 生產(chǎn)終端管理1.生產(chǎn)終端使用的軟件必須是正版軟件，禁止安裝與生產(chǎn)工作無關的軟件，如游戲、視頻等。2.生產(chǎn)終端必須安裝防病毒系統(tǒng)，系統(tǒng)管理員應定期檢查并保持病毒碼為最新病毒碼。3.生產(chǎn)終端必須及時安裝安全補丁，系統(tǒng)管理員應定期檢查并保持系統(tǒng)補丁全面安裝。4.生產(chǎn)終端應根據(jù)用戶權限設置賬戶和口令應按照賬號、口令和權限管理辦法中的規(guī)定進行設置。5.生產(chǎn)終端禁止開放沒有限制的文件共享。6.公司各生產(chǎn)終端應根據(jù)公司計算機命名方式統(tǒng)一命名。7.生產(chǎn)終端應設定屏幕保護，并確保在無人看管的情況下進行鎖屏。8.在沒有特殊情況下，生產(chǎn)終端禁止通過任何方式接入INTERNET網(wǎng)絡。9.在未經(jīng)允許的情況下，禁止私自在生產(chǎn)終端上接如移動存儲設備、調制解調器、紅外設備、無線設備和串口設備等外設，以便消除由此可能帶來的旁路以及惡意代碼、病毒的引入。3.6 病毒防護管理1.所有業(yè)務系統(tǒng)服務器、生產(chǎn)終端和辦公電腦都應當按照公司要求安裝了相應的病毒防護軟件或采用了相應的病毒防護手段。2.應當確保防止病毒軟件每天進行病毒庫更新，設置防病毒軟件定期（每周或沒月）對全部硬盤進行病毒掃描。3.如果自己無法對病毒防護措施的有效性進行判斷，應及時通知公司IT服務部門進行解決。4.各系統(tǒng)防病毒系統(tǒng)應遵循公司病毒防護系統(tǒng)整體規(guī)劃。5.如果發(fā)現(xiàn)個人辦公終端感染病毒，應首先拔掉網(wǎng)線，降低可能對公司網(wǎng)絡造成的影響，然后進行殺毒處理。6.各系統(tǒng)管理員在生產(chǎn)和業(yè)務網(wǎng)絡發(fā)現(xiàn)病毒，應立即進行處理。3.7 辦公終端管理1.所有辦公終端的命名應符合公司計算機命名規(guī)范。2.所有的辦公終端應加入公司的域管理模式，正確是使用公司的各項資源。3.所有的辦公終端應正確安裝防病毒系統(tǒng)，確保及時更新病毒碼。4.所有的辦公終端應及時安裝系統(tǒng)補丁，應與公司發(fā)布的補丁保持一致。5.公司所有辦公終端的密碼不能為空，根據(jù)XX地方IT系統(tǒng)使用手冊中的密碼規(guī)定嚴格執(zhí)行。6.所有辦公終端不得私自裝配并使用可讀寫光驅、磁帶機、磁光盤機和USB硬盤等外置存儲設備。7.所有辦公終端不得私自轉借給他人使用，防止信息的泄密和數(shù)據(jù)破壞。8.所有移動辦公終端在外出辦公時，不要使其處于無人看管狀態(tài)。9.辦公終端不得私自安裝盜版軟件和與工作無關的軟件，不得私自安裝掃描軟件或黑客攻擊工具。10.未經(jīng)公司IT服務部門批準，員工不得在公司使用modem進行撥號上網(wǎng)。11.員工不允許向外面發(fā)送涉及公司秘密、機密和絕密的信息。3.8 數(shù)據(jù)安全管理3.8.1 數(shù)據(jù)存儲安全管理數(shù)據(jù)存儲介質包括：紙質文檔、語音或其錄音、復寫紙、輸出報告、一次性打印機色帶、軟盤、硬盤、磁帶、可以移動的磁盤或卡帶、光存儲介質（所有形式的媒介，包括制造商的軟件發(fā)布媒介）。存儲介質管理必須遵從以下規(guī)定： 包含重要、敏感或關鍵數(shù)據(jù)的移動式存儲介質不得無人值守，以免被盜。例如：物理方式鎖閉。 刪除可重復使用的存儲媒介中不再需要的數(shù)據(jù)。 刪除可重復使用存儲介質上的機密及絕密數(shù)據(jù)時，為了避免在可移動介質上遺留信息，應該對介質進行消磁或徹底的格式化，或者使用專用的工具在存儲區(qū)域填入無用的信息進行覆蓋。 任何存儲媒介帶入和帶出公司都需經(jīng)過授權，并保留相應記錄，方便審計跟蹤。 所有存儲媒介都應遵照其制造商的規(guī)范保存。3.8.2 數(shù)據(jù)傳輸安全管理1.在對數(shù)據(jù)進行傳輸時，應該在風險評估的基礎上采用合理的加密技術，選擇和應用加密技術時，應該考慮以下因素： 必須符合國家有關加密技術的法律法規(guī)，包括使用和進出口限制； 根據(jù)風險評估確定保護級別，并以此確定加密算法的類型、屬性，以及所用密鑰的長度； 聽取專家的建議，確定合適的保護級別，選擇能夠提供所需保護的合適的產(chǎn)品，該產(chǎn)品應能實現(xiàn)安全的密鑰管理。另外，還應聽取與加密技術法律法規(guī)相關的法律建議。2.機密和絕密信息在存儲和傳輸時必須加密，加密方式可以分為：對稱加密和不對稱加密。對稱加密的密鑰長度至少達到128位，不對稱加密算法密鑰長度至少1024位（RSA算法）。當環(huán)境不允許加密時（例如法律禁止等），專用通信線路必須采用有線系統(tǒng)。數(shù)據(jù)壓縮技術（例如WinZIP等）不得代替安全手段。3.機密和絕密數(shù)據(jù)的傳輸過程中必須使用數(shù)字簽名以確保信息的不可否認性，使用數(shù)字簽名時應該注意以下事項： 充分保護私鑰的機密性，防止竊取者偽造密鑰持有人的簽名。 采取保護公鑰完整性的安全措施，例如使用公鑰證書； 確定簽名算法的類型、屬性以及所用密鑰長度； 用于數(shù)字簽名的密鑰應不同于用來加密內(nèi)容的密鑰； 符合有關數(shù)字簽名的法律法規(guī)。必要時，應在合同或協(xié)議中規(guī)定使用數(shù)字簽名的相關事宜。3.8.3 數(shù)據(jù)安全等級的變更1.數(shù)據(jù)資產(chǎn)安全等級經(jīng)常需要變更，一般地，數(shù)據(jù)資產(chǎn)安全等級變更需要由數(shù)據(jù)資產(chǎn)的所有者進行，然后改變相應的分類并通知相關的人員。另外，可以采用自動化降低安全等級方式，按照年限自動遞減密級。2.對于數(shù)據(jù)資產(chǎn)的安全等級，每年需要進行評審，只要實際情況允許，就進行數(shù)據(jù)資產(chǎn)安全等級遞減過程，這樣可以降低數(shù)據(jù)防護的成本，并增加數(shù)據(jù)訪問的方便性。3.8.4 數(shù)據(jù)備份和恢復1.必須根據(jù)數(shù)據(jù)的等級制定備份策略。備份策略應包含系統(tǒng)和數(shù)據(jù)的名稱、備份的頻率和類型（全部備份/差異備份等，以及備份媒介類型和所用備份軟件、異地存放周期以及制定備份方案的決策原則等。備份操作應盡量在不影響業(yè)務的時間段里，嚴格遵照備份策略執(zhí)行。重要的業(yè)務數(shù)據(jù)應至少保留三個版本或三個備份周期的備份信息，備份信息應包含完整的備份記錄、備份拷貝、恢復程序文檔和清單。2.為盡快恢復故障，應在本地（主場所）保留備份信息，同時為了避免主場所的災難所導致的破壞，還應做好異地備份。應為備份信息指定與主場所一致的物理和環(huán)境保護級別，主場所所采用的媒介控制措施應當擴展涵蓋備用場所。3.應盡可能地定期檢查和測試備份信息，保持其可用性和完整性，并確保在規(guī)定的時間內(nèi)恢復系統(tǒng)。3.8.5 密碼安全采取安全的密碼策略是防止對數(shù)據(jù)的非法訪問的重要手段。密碼的選擇應該遵循以下原則：1.將數(shù)字、大寫字母、小寫字母、標點符號混合；2.要有足夠的長度，至少8位；3.要易于輸入； 4.不能選擇親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼；5.不能選擇字典上現(xiàn)有的詞匯；6.不能選擇一串相同的數(shù)字或字母；7.不能選擇明顯的鍵盤序列；8.密碼的使用應該遵循以下原則：9.不能將密碼寫下來，不能通過電子郵件傳輸；10.不能使用缺省設置的密碼；11.不能將密碼告訴別人；12.如果系統(tǒng)的密碼泄漏了，必須立即更改；13.不能共享超級用戶的口令，使用用戶組或適當?shù)墓ぞ呷鐂u；14.所有系統(tǒng)集成商在施工期間設立的缺省密碼在系統(tǒng)投入使用之前都要刪除；15.密碼要以加密形式保存，加密算法強度要高，加密算法要不可逆；16.在輸入時密碼不能顯示出來；17.系統(tǒng)應該強制指定密碼的策略，包括密碼的最短有效期、最長有效期、最短長度、復雜性等；18.除了系統(tǒng)管理員外，一般用戶不能改變其它用戶的口令；19.如果需要特殊用戶的口令（比如說UNIX下的Oracle），要禁止通過該用戶進行交互式登錄；20.強制用戶在第一次登錄后改變口令；21.在要求較高的情況下可以使用強度更高的認證機制，例如：雙因素認證；22.如果可能的話，可以使用自己密碼生成器幫助用戶選擇口令；23.要定時運行密碼檢查器檢查口令強度，對于保存機密和絕密信息的系統(tǒng)應該每周檢查一次口令強度；其它系統(tǒng)應該每月檢查一次。3.8.6 密鑰安全密鑰管理對于有效使用密碼技術至關重要。密鑰的丟失和泄露可能會損害信息的機密性、真實性和完整性。因此，應采取加密技術等措施來有效保護密鑰，以免密鑰被非法修改和破壞；還